JAJA752 may   2023 TMS320F280033 , TMS320F280034 , TMS320F280034-Q1 , TMS320F280036-Q1 , TMS320F280036C-Q1 , TMS320F280037 , TMS320F280037-Q1 , TMS320F280037C , TMS320F280037C-Q1 , TMS320F280038-Q1 , TMS320F280038C-Q1 , TMS320F280039 , TMS320F280039-Q1 , TMS320F280039C , TMS320F280039C-Q1

 

  1.   1
  2.   概要
  3.   商標
  4. 1はじめに
  5. 2Cat 2、PLD の安全要件について
    1. 2.1 ISO 3691-4 に準拠した安全要件
    2. 2.2 システム・アーキテクチャの選択
    3. 2.3 プロセスの安全時間に基づいたデバイスの選択
  6. 3移動型ロボット・モーター・ドライブの安全要件の実装
  7. 4まとめ

3 移動型ロボット・モーター・ドライブの安全要件の実装

設計者は、システムの安全要件とアーキテクチャ・カテゴリを理解したら、残りのデバイスを選択し、モーター・ドライブ全体を実装して、安全要件が満たされていることを確認する必要があります。

GUID-20230504-SS0I-RVNG-GNKQ-TKLMQ2HKPKFH-low.svg図 3-1 モーター・ドライブ・システム・ブロック図

図 3-1 に示すように、モーター・ドライブ・システムは通常、アナログ・フロント・エンド、エンコーダ、電源を統合できる電力段である MCU によって形成されます。

IEC 61508 では、必要な安全故障率 (SFF) は、デバイスのタイプがタイプ A かタイプ B によって異なります。IEC 61508 に従い、タイプ A サブシステムに故障モードが十分に定義されており、故障条件での動作が判定され、故障率が満たされていることを示す十分な故障データがあります。逆に、タイプB サブシステムはより複雑なサブシステムであり、故障モードが完全に定義されていないため、故障条件を完全に判定できず、故障率を満たすのに十分なデータがありません。両方のタイプのサブシステムの完全な定義は、IEC61508 規格の 7.4.4 節に記載されています。

さらに、IEC61508 規格の CNB-M-11.059 改訂版では、診断サブシステムは、最小安全性レベルを達成するため、必要なシステム SIL レベルを下回る安全性レベルを達成するだけでよいと規定されています。この改訂は IEC61508 規格の一部ですが、診断サブシステムを分析するときは ISO 13849-2 機械規格と組み合わせて使用するのが最先端です。

したがって、この具体的なケースでは、SIL 2 システムが必要なため、SIL 2 システム要件を満たすには、診断関連モジュールは SIL 1 以上、最小 SFF = 0% を満たす必要があります。ただし、安全機能と非診断機能は引き続き SIL 2を満たし、最小 SFF は 60% でなければなりません。

タイプ A とタイプ B のサブシステムを理解することで、利用可能な安全性に関する資料や診断機能などの機能に基づいてデバイス自体を簡単に選択できます。

マイコンはタイプ B デバイスであり、安全機能の実装に使用されるため、マイコンには最小 SFF = 60% が必要です。これは、必要な 60% の範囲を達成するために、デバイスが使用する各サブシステムを診断機能で監視する必要があることを意味します。

最初のステップとして、どのデバイス機能を使用する必要があるか、また各機能に必要な診断範囲を選択する必要があります。定義されたら、意図した各機能に対して十分な診断機能があるかどうか、または外部の診断デバイスが必要かどうかを示すために、安全性に関する資料が重要になります。

テキサス・インスツルメンツの最新 C2000™ リアルタイム・コントローラは、機能安全を考慮して設計されています。提供されている安全機能と資料を活用することで、安全性評価を簡素化し、迅速化できます。C2000™ の主な安全機能とデバイスの一部は、『C2000™ リアルタイム・マイコン向けの産業用機能安全』製品概要に記載されています。

さらに、さほど複雑でないデバイスについて、安全性に関する資料を入手することも重要です。すでに説明したように、デバイス・タイプ A の条件の 1 つは、デバイスの機能と故障モードを十分に定義する必要があることです。そのため、テキサス・インスツルメンツの安全性に関する資料の結果は、デバイスのタイプ、したがって必要な最小の SFF の正当性を示すのに有益です。

テキサス・インスツルメンツのマルチチャネル IC (PMIC) デバイスは、モーター制御モジュール全体の部品点数とサイズを大幅に削減すると同時に、安全要件を確実に満たすのに大いに役立ちます。内蔵 LDO、スーパーバイザ、BIST、ウォッチドッグ、DC/DC レギュレータなどの機能を搭載しているこれらの IC は設計の簡素化に役立つと同時に、マイコンと必要な電源レール両方を監視するために必要な診断機能を提供します。

ISO 13849 の節 6.1 に従い、安全機能を定期的に実行できない場合、この 60% の診断範囲を達成するために、診断機能と安全機能を同じ IC 内に配置することはできません。ISO 13849 では、IC 内の単一の故障によってこの IC の機能が完全に失われ、カテゴリ 2 では診断機能によって機能の損失を検出する必要があると考えています。したがって、機能の損失によって診断機能が失われないようにするため、同じ IC 内で電圧監視とウォッチドッグ Q/A を使用することはできません。この例では、外部電圧スーパーバイザと、PMIC デバイスの内部的な質疑応答 (Q&A) ウォッチドッグを使用します。スーパーバイザとリセット IC のパワー・マネージメント・フォルダには、機能安全をサポートする電圧スーパーバイザのテキサス・インスツルメンツの幅広い製品ラインアップが詳細に記載されています。

図 3-2 に、SIL 2 を達成するために使用できるいくつかの診断機能の非常に簡略化された例を示します。

GUID-20230504-SS0I-5TP7-SHVF-WGNS3JKCRWDD-low.svg図 3-2 安全機能を含む簡素化されたモーター・ドライブ・システム

安全機能をシステム・レベルで定義した後、各サブシステムが必要な安全要件を満たしていることを示すために、ブロック・レベルの分析が必要です。

この場合、安全サブシステムは安全機能と診断機能の間で分割されます。診断機能を使用して、安全機能がサブシステム・タイプごとに定義されている最小 SFF を確実に満たすようにします。表 3-1 に詳述します。

表 3-1 デバイス・タイプごとに必要な診断範囲の例
パラメータタイプ Aタイプ Aタイプ Bタイプ B
安全機能 (S)、診断機能 (D)SDSD
SIL2121
HFT0000
必要な最小 SFF|DC60%0%90%60%

目的の各機能が必要最低限の診断範囲を達成していることを適切に定義および実証することで、システムが必要な PL および SIL を達成でき、安全性認定を取得できることを実証できます。